ZTNA: Zero Trust Network Access

Zero-Trust-Framework

Funktionsweise eines Zero-Trust-Frameworks

Das klassische Netzwerksicherheitsmodell konzentrierte sich auf den Randbereich des Netzwerks, oder auch Netzwerkperimeter, und verfolgte einen Ansatz der Vertrauenswürdigkeit. Der Grundgedanke war, dass Bedrohungen für das Netzwerk stets von außen kamen und dass jeder Benutzer innerhalb der Netzwerkgrenzen als vertrauenswürdig eingestuft wurde. Mithilfe von Schutzmaßnahmen an der Netzwerkgrenze versuchten Unternehmen, Malware und andere Bedrohungen zu identifizieren und daran zu hindern, überhaupt in das Netzwerk einzudringen.

Dieser Ansatz für die Netzwerksicherheit bringt verschiedene Probleme mit sich, wie die Aufweichung der Netzwerkgrenzen, die Gefahr von Insider-Bedrohungen und den unzureichenden Schutz, den Netzwerksicherheitslösungen bieten. Zur Lösung dieser Probleme entwickelte John Kindervag, seinerzeit Vice President und Principal Analyst bei Forrester Research, das Konzept für eine Zero-Trust-Sicherheitsstrategie. Es beruht auf dem Prinzip, dass jedes Vertrauensverhältnis innerhalb einer Sicherheitsrichtlinie eine potenzielle Schwachstelle darstellt.

Bei der Zero-Trust-Sicherheitsstrategie wird Insidern nicht mehr implizit vertraut und Außenstehenden misstraut, sondern es wird niemandem mehr automatisch vertraut. Stattdessen werden die Zugriffsrechte und Berechtigungen von Fall zu Fall je nach Bedarf und Rolle vergeben. Einen guten Einstieg in das Thema „Zero Trust“ bietet der Artikel zur Zero-Trust-Architektur.

Was ist ein Zero-Trust-Netzwerk?

Die Umsetzung der Zero-Trust-Prinzipien in der Unternehmensumgebung setzt die Einrichtung eines Zero-Trust-Netzwerks voraus. In einem Zero-Trust-Netzwerk werden Zero-Trust-Richtlinien wie Zero Trust Network Access (ZTNA) oder Software-Defined Perimeter (SDP) durchgängig in der gesamten Umgebung eines Unternehmens implementiert und durchgesetzt.

Im Folgenden erfahren Sie, wie Sie ein klassisches, perimeterbasiertes Sicherheitsmodell durch ein Zero-Trust-Netzwerk ersetzen, mit dem Sie den heutigen Cyberbedrohungen begegnen und diese abwehren können.

Schritt 1: Identifizieren einer Schutzoberfläche

Die Verwaltung des Zugriffs auf Unternehmensressourcen ist ein zentraler Bestandteil einer Zero-Trust-Sicherheitsstrategie. Wie bereits erwähnt gewähren Zero-Trust-Richtlinien von Fall zu Fall den Zugriff auf Ressourcen anhand von rollenbasierten Zugriffskontrollen. Damit der Ressourcenzugriff gesteuert werden kann, müssen diese Ressourcen bekannt sein.

Ein wesentlicher Schritt bei der Einrichtung eines Zero-Trust-Netzwerks ist das Festlegen einer Schutzfläche aus den Ressourcen, die ein Unternehmen schützen möchte. Eine Schutzfläche setzt sich aus den DAAS eines Unternehmens zusammen:

  • Daten: Einer der häufigsten Gründe für die Wahl einer Zero-Trust-Strategie ist die Verhinderung von Datenschutzverletzungen und die Einhaltung von Datenschutzverordnungen. Die Identifizierung und Klassifizierung der Daten eines Unternehmens ist eine Grundvoraussetzung, damit die Zugriffsrechte für diese Ressourcen sinnvoll verwaltet werden können.
  • Assets: Ein modernes Unternehmen verfügt über vielfältige Ressourcen, wie herkömmliche PCs, Mobilgeräte, cloudbasierte Ressourcen und IoT-Geräte (Internet der Dinge). Die Zunahme von Remotearbeit und Mobilgeräten hat zur Folge, dass viele Unternehmen kaum den Überblick über ihren gesamten Bestandskatalog behalten können. Für eine erfolgreiche Zero-Trust-Bereitstellung ist es jedoch unerlässlich, diese mangelnde Transparenz zu beheben.
  • Anwendungen: Anwendungen sind für jedes Unternehmen äußerst wertvolle Ressourcen und ein beliebtes Ziel von Cyberangriffen. Die Ausnutzung von Sicherheitslücken in Anwendungen kann einem Angreifer Zugang zu sensiblen Daten verschaffen oder ihm einen Ausgangspunkt bieten, von dem aus er andere Ziele angreifen kann. Daher wird eine vollständige Liste sämtlicher Geschäftsanwendungen benötigt, um eine Strategie für deren Schutz zu erarbeiten.
  • Services: Die Ausweitung der Cloud führt dazu, dass viele Unternehmen cloudbasierte Services nutzen oder anbieten. Diese Services stellen ebenfalls potenzielle Schwachstellen und Angriffsvektoren für Cyberkriminelle dar und müssen ebenso identifiziert und geschützt werden.

Schritt 2: Analysieren der Zusammenhänge

Zero-Trust-Netzwerke funktionieren nach dem Prinzip der minimalen Berechtigung. Das bedeutet, dass Benutzern nur die Berechtigungen gewährt werden, die sie für ihre Arbeit wirklich brauchen.

Damit diese Berechtigungen passend zugewiesen werden können, muss bekannt sein, welche Zugriffsrechte und Berechtigungen die Mitarbeiter und IT-Geräte benötigen, um ihre jeweiligen Aufgaben zu erfüllen. Am besten lässt sich dies erreichen, indem die Aktivitäten im Tagesgeschäft erfasst werden.

Durch die Überwachung des Unternehmensnetzwerks kann dann eine Zuordnung der Kommunikationswege und Zusammenhänge zwischen DAAS, der Infrastruktur, den Services und den Benutzern erstellt werden. Anhand dieser Datenflüsse im Netzwerk lassen sich die Kommunikationswege ermitteln, die gemäß einer Zero-Trust-Richtlinie zulässig sind, und die, die als unnötig oder unerwünscht blockiert werden sollten.

Die Analyse der Abhängigkeiten und Kommunikationsmuster innerhalb eines Unternehmensnetzwerks bildet die Grundlage für die Umsetzung einer Zero-Trust-Strategie, doch das ist nicht der einzige Vorteil. Wenn ungewöhnliche oder verdächtige Datenflüsse entdeckt werden, kann dies Maßnahmen zur Gefahrenabwehr einleiten, durch die Unternehmen in ihren Netzwerken vorhandene Viren und Bedrohungen beseitigen können.

Schritt 3: Implementieren von Mikrosegmentierung

Zugriffskontrollen werden in der Regel an Netzwerkgrenzen durchgeführt, an denen der Datenverkehr durch eine Netzwerksicherheitsappliance geleitet wird. Zur Umsetzung einer Zero-Trust-Strategie muss ein Unternehmen über viele dieser Grenzen verfügen, um eine differenzierte Schutzfunktion und Zugriffskontrolle für die Unternehmensressourcen zu gewährleisten.

Die Errichtung von Grenzen im gesamten Unternehmensnetzwerk setzt die Implementierung einer Mikrosegmentierung voraus. Bei der Mikrosegmentierung wird jede Unternehmensressource in einem eigenen Bereich platziert, und der Datenverkehr wird auf Layer 7 überwacht und gefiltert.

Diese Überwachung von Layer 7 ist wichtig, um die für Zero Trust erforderliche Transparenz zu gewährleisten. Die Verbreitung von Cloud Computing und servicebasierten Bereitstellungsmodellen hat zur Folge, dass die Datenverkehrsanalyse von Layer 3/4 nicht mehr die nötige Granularität und Transparenz bietet, um den Zweck des Datenverkehrs im Netzwerk zu ermitteln. Mit der Layer-7-Analyse können Unternehmen Daten auf Anwendungsebene einsehen und für ihre Entscheidungen hinsichtlich der Zugriffskontrolle heranziehen.

Bei der Ausarbeitung einer Mikrosegmentierungsrichtlinie kann die Kipling-Methode ein nützliches Hilfsmittel sein. Mit ihr wird eine Zero-Trust-Richtlinie definiert, die sich an den Antworten auf sechs Fragen orientiert, darunter:

  1. Wer stellt die Anforderung?
  2. Welche Ressource wird angefordert?
  3. Woher kommt die Anforderung?
  4. Wann wurde die Anforderung gestellt?
  5. Warum benötigt der Benutzer Zugriff auf diese Ressource?
  6. Wie fordert der Benutzer den Zugriff an?

Durch die Beantwortung dieser Fragen können Unternehmen herausfinden, ob eine bestimmte Anforderung mit den Sicherheitsrichtlinien des Unternehmens im Einklang steht oder nicht. So kann beispielsweise der Zugriff auf eine bestimmte Ressource nur von bestimmten Computern aus zulässig sein, obwohl die Anforderung von einem Gerät eines Remotemitarbeiters aus gestellt werden kann. Selbst wenn der Mitarbeiter rechtmäßigen Zugriff auf die Ressource hat, kann dann die Anforderung nicht angenommen werden, wenn sie von dem falschen Gerät kommt. Für eine erfolgreiche Zugriffskontrolle ist es wichtig, nicht nur die Benutzeridentität zu kennen, sondern auch das Gerät, von dem die Anforderung kommt.

Erste Schritte zur Umsetzung einer Zero-Trust-Strategie

Die jüngsten Ereignisse haben gezeigt, dass herkömmliche Sicherheitsstrategien einfach nicht mehr ausreichen. Datenschutzverletzungen sind an der Tagesordnung, Ransomware-Angriffe nehmen zu, und auch andere Cyberbedrohungen sind nach wie vor präsent. Für Unternehmen ist es daher wichtiger als je zuvor, ihre Remotemitarbeiter optimal zu schützen.

Die Implementierung eines Zero-Trust-Netzwerks ist ein mehrstufiger Prozess. Der wichtigste Schritt dabei ist die Auswahl der richtigen Sicherheitslösungen, mit denen die Zero-Trust-Richtlinien des Unternehmens umgesetzt werden können. Älteren Sicherheitslösungen mangelt es an Reichweite oder granularen Sicherheitsfunktionen, sodass sich Zero-Trust-Richtlinien nicht durchsetzen lassen. ZTNA ist ein integraler Bestandteil des SASE-Frameworks (Secure Access Service Edge) von Gartner und stellt die perfekte Alternative zu herkömmlichen Lösungen dar.

Mit SASE lässt sich die Zero-Trust-Strategie einfach und bequem umsetzen. Bei der SASE-Lösung wird der gesamte Datenverkehr über einen SASE-PoP (Point of Presence) geleitet, der eine Layer-7-Datenverkehrsanalyse und die Durchsetzung von Sicherheitsrichtlinien ermöglicht. Zudem lassen sich mit SASE Zero-Trust-Richtlinien für Remotemitarbeiter mit ZTNA durchsetzen, was für Unternehmen heutzutage immer wichtiger wird. Weitere Informationen über die ZTNA-Funktionen von SASE finden Sie unter diesem Link.

Als Marktführer im SASE-Bereich wurde Cato Networks bereits mehrfach im ZTNA-Marktleitfaden von Gartner als Anbieter der Netzwerk- und Sicherheitslösungen ausgezeichnet, die Unternehmen künftig benötigen werden. Wenn Sie mehr über den Einsatz von SASE zur Implementierung von Zero Trust erfahren möchten, kontaktieren Sie uns. Außerdem können Sie eine Demo buchen, um sich selbst ein Bild von den Vorteilen von Cato SASE Cloud zu machen.

FAQ

  • Was ist Zero Trust Network Access (ZTNA)?

    Zero Trust Network Access ist ein neuer Ansatz für einen sicheren Zugriff auf Anwendungen und Services. ZTNA verweigert grundsätzlich den Zugriff auf eine Ressource, es sei denn, er ist ausdrücklich erlaubt. Dieser Ansatz ermöglicht die Umsetzung strengerer Sicherheitsstandards im Netzwerk und eine Mikrosegmentierung, die im Falle eines Angriffs auf das System laterale Aktivitäten einschränken kann.

  • Wie unterscheidet sich ZTNA von Software-Defined Perimeter (SDP)?

    SDP und ZTNA sind heute praktisch identisch. Beide schaffen eine Architektur, die jedem und allem den Zugriff auf eine Ressource verweigert, sofern dies nicht ausdrücklich gestattet wurde.

  • Warum ist ZTNA von Bedeutung?

    ZTNA ist nicht nur sicherer als herkömmliche Netzwerklösungen, sondern auch für die Geschäftsanforderungen von heute konzipiert. Benutzer arbeiten inzwischen überall – nicht nur in Büros – und Anwendungen und Daten werden immer häufiger in die Cloud verlagert. Daher müssen Zugriffslösungen diesem Wandel Rechnung tragen. Mit ZTNA lässt sich der Anwendungszugriff dynamisch je nach Benutzeridentität, Standort, Gerätetyp und anderen Faktoren anpassen.

  • Wie funktioniert ZTNA?

    ZTNA verwendet präzise Zugriffsrichtlinien auf Anwendungsebene, die für alle Benutzer und Geräte auf standardmäßige Verweigerung eingestellt sind. Ein Benutzer stellt eine Verbindung zu einem Zero-Trust-Controller her und authentifiziert sich bei diesem. Dieser setzt die entsprechende Sicherheitsrichtlinie um und überprüft die Geräteattribute. Erfüllen Benutzer und Gerät die vorgegebenen Anforderungen, wird der Zugriff auf bestimmte Anwendungen und Netzwerkressourcen auf der Grundlage der Benutzeridentität gewährt. Der Benutzer- und Gerätestatus wird fortlaufend verifiziert, um den Zugang aufrechtzuerhalten.

  • Wie unterscheidet sich ZTNA von VPN?

    ZTNA folgt einem Ansatz zur Identitätsauthentifizierung, bei dem alle Benutzer und Endgeräte verifiziert und authentifiziert werden, bevor ihnen der Zugriff auf netzwerkbasierte Ressourcen gewährt wird. Die User können nur die jeweiligen Ressourcen ansehen und darauf zugreifen, die gemäß der Richtlinie für sie zugelassen sind.

    Ein VPN ist eine private Netzwerkverbindung, die auf einem virtuellen sicheren Tunnel zwischen dem Benutzer und einem allgemeinen Endpunkt im Netzwerk basiert. Der Zugriff basiert auf den Anmeldedaten des Benutzers. Sobald ein Benutzer eine Verbindung zum Netzwerk hergestellt hat, kann er alle Ressourcen des Netzwerks einsehen, da der Zugriff nur durch ein Passwort eingeschränkt ist.

  • Wie wird ZTNA implementiert?

    Bei der clientinitiierten ZTNA-Implementierung sendet ein Agent, der auf einem autorisierten Gerät installiert ist, Informationen über den Sicherheitskontext dieses Geräts an einen Controller. Der Controller fordert den User des Endgeräts zur Authentifizierung auf. Nachdem sowohl der User, als auch das Enderät authentifiziert sind, stellt der Controller die Verbindung vom Enderät über ein Gateway her, z. B. über eine Next-Generation Firewall, die mehrere Sicherheitsrichtlinien durchsetzen kann. Der User kann nur auf Anwendungen zugreifen, die ausdrücklich zugelassen sind.

    Bei einer serviceinitiierten ZTNA-Implementierung ist ein Connector im selben Netzwerk wie die Anwendung installiert, der eine ausgehende Verbindung zur Cloud des Anbieters herstellt. User, die auf die Anwendung zugreifen möchten, werden durch einen Service in der Cloud authentifiziert. Anschließend erfolgt eine Validierung durch eine Identitätsmanagementlösung. Der Anwendungsdatenverkehr wird über die Cloud des Anbieters geleitet, wodurch dieser vor direktem Zugriff und Angriffen über einen Proxy geschützt ist. Auf dem Gerät des Users wird kein Agent benötigt.

  • Wird ZTNA die SASE-Lösung ersetzen?

    ZTNA ist lediglich ein kleiner Bestandteil der SASE-Lösung. Sobald die User autorisiert und mit dem Netzwerk verbunden sind, müssen immer noch Maßnahmen zum Schutz vor netzwerkbasierten Bedrohungen ergriffen werden. IT-Verantwortliche benötigen dazu die richtige Infrastruktur und Optimierungsfunktionen, um eine sichere User Erfahrung zu gewährleisten. Und sie müssen nach wie vor die gesamte Umgebung verwalten. Diese Herausforderungen meistert die SASE-Lösung durch die Kombination von ZTNA mit einer umfassenden Suite von Security Services – NGFW, SWG, Anti-Malware-Programme und MDR – und mit Netzwerkservices wie SD-WAN, WAN-Optimierung und Bandbreitenaggregation.

  • Welche Sicherheitsfunktionen fehlen bei ZTNA?

    ZTNA erfüllt die Anforderungen an einen sicheren Netzwerk- und Anwendungszugriff, bietet jedoch keine Sicherheitsfunktionen wie die Suche nach Malware, die Erkennung und Behebung von Cyberbedrohungen, den Schutz von internetfähigen Enderäten vor Infektionen und die Durchsetzung von Unternehmensrichtlinien für den gesamten Netzwerkdatenverkehrs. Aus diesem Grund ist die ganze Palette an Sicherheitsservices der SASE-Lösung eine Ergänzung zu ZTNA.

  • Wie arbeiten Zero Trust und SASE zusammen?

    Mit SASE wird die Funktion des Zero-Trust-Controllers in den SASE-PoP integriert. Somit ist kein separater Connector erforderlich. Die Endgeräte stellen eine Verbindung zum SASE-PoP her, werden validiert und die User erhalten nur Zugriff auf die Anwendungen (und Standorte), die von der Sicherheitsrichtlinie in der Next-Generation Firewall (NGFW) und dem Secure Web Gateway (SWG) der SASE-Architektur zugelassen sind.

    Weitere Sicherheits- und Netzwerkanforderungen erfüllt die SASE-Lösung durch die Kombination von ZTNA mit einer umfassenden Suite von Sicherheitsservices – NGFW, SWG, Anti-Malware-Programmen und MDR – und mit Netzwerkservices wie SD-WAN, WAN-Optimierung und Bandbreitenaggregation. Unternehmen, die die SASE-Architektur nutzen, erhalten so die Vorteile von Zero Trust Network Access sowie eine umfassende Auswahl an Netzwerk- und Sicherheitslösungen in einem Paket, das einfach zu verwalten, optimiert und äußerst skalierbar ist.